Grupo: http://groups.google.com/group/forosi/topics
- Test de seguridad Paginas Web [11 actualizaciones]
- Etiquetar Cintas magenticas de Respaldos de informacion o Backup [4 actualizaciones]
- [forosi:16153] Re: Teclados virtuales y Captcha en páginas Web [6 actualizaciones]
- "Gustavo Acero" <gacero@transfiriendo.com> May 26 03:20PM -0500 ^
Buenas tardes a todos,
Les comento que en la compañía donde trabajo me solicitaron hacer un test de
seguridad sobre las paginas o sitios web que tenemos en la plataforma.
No soy muy experto en este tema, pero me podrían decir que tipo o que
herramientas usar para poder tener un análisis de vulnerabilidades sobre
estos sitios web.
Gracias!!
- Claudio Bazan <cbazan@gmail.com> May 26 05:46PM -0300 ^
Hola Gustavo,
Podes correr un acunetix que es un scanner de vulnerabilidades web, podes
bajar la version trial de la web como para jugar un poco.
http://www.acunetix.com/vulnerability-scanner/download.htm
2011/5/26 Gustavo Acero <gacero@transfiriendo.com>
--
Saludos
Claudio.
- "Tirso Hernández" <tirso@netminds.com.mx> May 26 03:50PM -0500 ^
Podrías usar Nessus que es libre o Retina de la empresa E-Eye, ambos son muy
buenos aunque a mí me gusta más Retina, porque te entrega unos reportes
bastante detallados y te da información que te permite entender lo que
ocurrirá si eliminas una vulnerabilidad específica.
ATENTAMENTE
Tirso Hernández
Tel: +52 (55) 11131615
Cel: 044 55 1470 5293
skype: tirso.hernandez
email: tirso@netminds.com.mx
MSN ID: jt63kreature@hotmail.com
www.net-minds.com.mx
NET MINDS S.A. DE C.V.
Business Integrity Consulting
............................................................................
...............
Este correo electronico es confidencial y/o puede contener informacion
privilegiada.
Si usted no es su destinatario o no es alguna persona autorizada por este
para recibir sus correos electronicos, NO debera usted utilizar, copiar,
revelar, o tomar ninguna accion basada en este correo electronico o
cualquier otra informacion incluida en el, favor de notificar al remitente
de inmediato mediante el reenvio de este correo electronico y borrar a
continuacion totalmente este correo electronico y sus anexos.
Nota: Los acentos y caracteres especiales fueron omitidos para su correcta
lectura en cualquier medio electronico.
This e-mail is confidential and/or may contain privileged information.
If you are not the addressee or authorized to receive this for the
addressee, you must not use, copy, disclose, or take any action based on
this message or any
other information herein, please advise the sender immediately by reply this
e-mail and delete this e-mail and its attachments.
From: forosi@googlegroups.com [mailto:forosi@googlegroups.com] On Behalf Of
Gustavo Acero
Sent: jueves, 26 de mayo de 2011 15:20
To: FORO
Subject: [forosi:16167] Test de seguridad Paginas Web
Buenas tardes a todos,
Les comento que en la compañía donde trabajo me solicitaron hacer un test de
seguridad sobre las paginas o sitios web que tenemos en la plataforma.
No soy muy experto en este tema, pero me podrían decir que tipo o que
herramientas usar para poder tener un análisis de vulnerabilidades sobre
estos sitios web.
Gracias!!
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
- ROBERTO PUYO VALLADARES <robertopuyovalladares@gmail.com> May 26 03:56PM -0500 ^
Estimado Gustavo:
Te recomiendo la herramienta *Acunetix* (http://www.acunetix.com/) , es una
herramienta a nuestro conocimiento, calificada como excelente en la
detección de vulnerabilidades en desarrollo de aplicaciones Web.
Utiliza para su análisis, entre otras, las buenas prácticas indicadas por *
OWASP* (https://www.owasp.org/index.php/Main_Page).
--
Saludos:.
Roberto Puyó Valladares,CISM, ISO 27001 LA
Chapter President Information Systems Security Association (ISSA) Lima Perú
Internacional : https://www.issa.org
Perú : http://www.issaperu.org
Twitter : http://twitter.com/issaperu
Facebook : http://www.facebook.com/issaperu
Linkedin : http://www.linkedin.com/in/robertopuyo
- the_owner77 <the_owner77@hotmail.com> May 26 02:03PM -0700 ^
Hola,
La Guía de Pruebas de OWASP (www.owasp.org) te puede orientar en el
asunto. Además de brindar información sobre la seguridad en
aplicaciones web.
En cuanto a herramientas, hay de todo tipo incluso gratis. Bastaría
con buscar a través de un motor de búsquedas "Web Vulnerability
Scanner". Sin embargo y en lo particular he tenido una buena
experiencia con Acunetix que es de paga. No preciso si en Back Track
(www.backtrack-linux.org), se encuentre este u otra herramienta, creo
que si, revisatela igualmente.
Adicional, el reporte que se emita, debe indicar la herramienta que se
empleo y que los resultados fueron de acuerdo con las capacidades de
dicha herramienta. No emitir "juicio de valor", sino limitarle a los
hechos y la evidencia, es decir ser realista y objetivo.
Mensaje aparte, normalmente las pruebas a páginas web que he hecho,
han tardado bástante, dependiendo pues de la profundidad de la página,
los enlaces y recursos que esta ofrezca. Así que podría ser necesario
un equipo con buen poder de computo desde donde se lance la prueba y
tener mucho cuidado de no afectar la disponibilidad de la página a
evaluar.
Exitos y con gusto!.
Winer Ariza Fontalvo
Engineer & IT Security
- Luis Torres <luistorres19@gmail.com> May 26 04:40PM -0430 ^
Recomiendo Acunetix, ya lo probé en modo Full y es muy bueno. Lo único es
que hay que tener cuidado ya que si el Acunetix logra detectar el ataque
puede introducir datos o incluso alterar datos de la página para demostrar
que si existe la vulnerabilidad.
Eso se ajusta mediante el perfil Default en el Site Crawler de la
aplicación. Es cuestión de conocer la aplicación y manejarla como uno
quiere. Muchas personas solo le dan "Start" sin haber revisado el programa
un poco.
Saludos
Luis Torres
2011/5/26 Gustavo Acero <gacero@transfiriendo.com>
--
Saludos
Luis Torres
- JUAN BERRIO <judabe2003@gmail.com> May 26 04:24PM -0500 ^
Buenas Tardes,
Al respecto de lo que preguntas del test, te recomiendo poner el
consideración o siguiente:
· Cuando tenemos unos servidores prestando un servicio Web por
ejemplo, debemos de hacer un test a nivel de Infraestructura, es decir
evaluar la seguridad de ese servidor Web en capas superiores, por lo que
deberías de evaluar lo siguiente:
o Seguridad en el sistema operativo que contiene el servidor Web
o Seguridad en los dispositivos de enrutamiento por los que pasa el
servidor Web Internamente
o Seguridad en los dispositivos de seguridad, tales como UTM, Firewall,
VPN, entre otros, que filtran y protegen el servidor web.
· Una vez que ha evaluado la infraestructura sobre la cual se
ejecutan los aplicativos (Web para el caso que preguntas), deberías de
evaluar la ultima capa del modelo de referencia OSI (7-Aplicación), y en
esta capa debes de evaluar dos aspectos.
* *
*Primer Aspecto: Seguridad de las aplicaciones a nivel de servicios de
red:*Es decir evaluar la seguridad del servidor Web, Apache o IIS por
ejemplo,
verificando las versiones del servidor web, las configuraciones, y en
general las buenas prácticas. No queda de mas evaluar otros protocolos tales
como HTTPS, FTP, entre otros, que en muchas ocasiones acompañan un servidor
Web para su funcionamiento y administración.
Deberías hacer lo mismo con el tema de *la base de datos*, teniendo presente
que la pagina alojada en servidor web, sea dinámica. Para la base de datos
aplica lo mismo, verificar versión, configuraciones, cuentas por defecto, y
en general aplicar buenas prácticas de seguridad orientada al motor de bases
de datos, que para tu caso puede ser un MYSQL por ejemplo.
*Segundo Aspecto*: Lo segundo que debes de evaluar en esta capa, es la
aplicación como tal, es decir la que han construido los desarrolladores en
algún lenguaje como PHP, JAVA, o .NET. Aquí debes de evaluar criterios de
seguridad que los programadores no tuvieron en cuenta al principio de diseño
de la aplicación que esta ejecutándose en el servidor web, por lo que
deberías evaluar amenazas propias de esta capa, como lo son XSS (Cross Site
Scrpting) y las Inyecciones SQL por ejemplo.
A nivel de última recomendación, no queda demás evaluar la arquitectura del
sitio web, es decir que tengas el servidor de aplicaciones en un server, y
el de la base de datos a la cual se conecta la aplicación en otro server.
Ok, ahora lo que más necesitas…Cuales aplicativos debes de usar:?? La
recomendación es:
*Acunetix:* Es una excelente scanner y analizador de vulnerabilidades
orientados a la capa 7 del modelo de referencia OSI, con lo cual te evalúa
vulnerabilidades del tipo XSS, SQL Injection y más.
*NESSUS:* Un excelente scanner multiplataforma, aunque su fuerte no es los
aplicativos web, en su versión profesional feed, tiene un modulo de análisis
web, que puede ser interesante.
Por último queda recomendarte el uso de Backtrack y OWASP, los cuales l
tienen una infinidad de herramientas orientadas a lo que necesitas, pero te
recomiendo leer bien las herramientas y y tener presente armar un perfil de
tu servidor a evaluar, para que no hagas lo que muchas personas y es "*APUNTE
Y TIRE",* es decir colocar dirección IP y a escanear. Lo anterior es
importante , ya que podrás causar una denegación de servicios, y además te
saldrán muchos falsos positivos, con lo que el análisis no sería de buenos
resultados.
Espero haberte ayudado.
Saludos,
JUAN BERRIO
- "Cristian Borghello | www.segu-info.com.ar" <segu.info@gmail.com> May 26 06:33PM -0300 ^
Hola,
Por las dudas no se queden con los scaneos y herramientas automaticas
ya q si bien las mismas son eficientes tienen falsos positivos y hay q
saber "leerlos". Por otro lado muchas veces es mejor probar
manualmente ya q si bien puede demorarse mas es mas efectivo y eso
pone en juego tb la imaginacion del testes (ademas de ser divertido).
Es decir q si bien lo automatico ahorra tiempo y cubre el promedio de
los problemas, en las pruebas manuales pueden llegar a encontrar cosas
mas "delicadas" y no tan comunes. Por otro lado en las pruebas
automaticas podes tener prob. de denegacion de servicios o stress de
aplicaciones simplemente porque se configuraron incorrectamente antes
de lanzar el test.
Por otro lado la capacitacion en desarrollo seguro de software es
fundamental para q los desarrolladores conozcan cuales son los errores
comunes y no los comentan de nuevo ya q es comun hacer un test,
solucionar los problemas y 15 dias dsp encontrar los mismos problemas
en el codigo que se desarrolló luego del test y por los mismos
desarrolladores.
Por eso es importante q los analistas y desarrolladores se capaciten
en desarrollo seguro.
Mas info en el area de Educacion de Segu-Info ;)
Cristian
- "Gonzalo Duperré" <gduperre@me.com> May 26 09:30PM ^
Buenas!
Si bien como todos comentan, ACUNETIX es una de las mejores herramientas para test de vulnerabilidades Web, no dejes de probar W3AF (Web Application Attack and Audit Framework.)
Ayer fue liberada la primer version STABLE. Te dejo el sitio: http://w3af.sourceforge.net/
Espero que te sirva.
Un saludo,
Gonzalo
- Francisco Alvarez <fasi1222@gmail.com> May 26 04:38PM -0500 ^
Comparto la idea de la mayoria al respecto de usar Acunetix, solo se debe
tener cuidado ya que puedes tirar tus servicios por las peticiones q hace el
software, debes de planear el analisis a una hora no pico en base a las
actividades organizacionales.
El 26 de mayo de 2011 16:33, Cristian Borghello | www.segu-info.com.ar <
--
Ing. Francisco Asiain A.
55 8421 3936
- Aldo Villaseca Hernandez <aldo_villaseca@yahoo.com> May 26 03:41PM -0700 ^
La herramienta W3AF (Web Application Attack and Audit Framework.) es buena y trae el OWASP 10 Top Web Application Security Risks OWASP. Esta herramienta tambien viene incluida en Back Track 5.
Otra que tambien es buena es Wapiti : http://wapiti.sourceforge.net/
Sobre Acunetix es buena pero hay que comprar la licencia y a veces las empresas no disponen de presupuesto.
Lo importante de estas pruebas es saber interpretar los resultados.
Saludos
Aldo
- Anhk Morpork <sepukos@hotmail.com> May 26 11:30AM -0700 ^
Hola Señores:
Estoy haciendo backups en cintas magneticas, pero el mi jefe me esta pidiendo, que realice una nomenclatura o etiqueta, debido a que las cintas tiene un tiempo de vida o uso, esto con el fin de cuando inicia la cinta y termina, los respaldos se realizan diario, de que servidor es, y a que tienda le corresponde. o si se tiene que seguir una cierta norma para realizar esta etiqueta
Gracias por su ayuda.
- the_owner77 <the_owner77@hotmail.com> May 26 11:58AM -0700 ^
Hola, creo que tienes la esencia de la ídea, identificar mediante la
etiqueta de la cinta, la información que contiene.
En las experiencias que he tenido, la cinta la he marcado con:
- El sistema del que fue tomada (Nombre del servidor o del aplicativo)
- Tipo de respaldo (Incremental, diferencial, full)
- Periodo de vigencia del respaldo (Por cuanto tiempo se debe retener)
- Fecha en que se tomo
Además, hay que tener en cuenta la disponibilidad de la información,
por que los medios cambian (no regularmente pero llegará a suceder) y
por daño del medio. Así que hay que tener cuidado con aquellos
respaldos que se guardan por 6, 12 meses o para siempre. Así que es
necesario tener un procedimiento al respecto que garantice la
disponibilidad de la información, no importando que le pueda acontecer
al medio.
Ahora, yo trabajé con un software de respaldo de una fabricante
conocido, que me parecio bastante potente. En un momento dado, se
podia preguntar a la base de datos del software por un archivo en
especifico (dependiendo del query, claro), y este mostraba cuántas
veces se había respaldado ese archivo, las rutas donde se encontraba,
las fechas de los respaldos, el peso del archivo al momento de cada
respaldo, en cuáles cintas se encontraba y si se quería recuperar se
escogía cual versión del archivo, el software pedía la cinta
correspondiente (por un número único de la misma) y listo.
- "j. alejandro navarro guzman" <cuauhxicalli@gmail.com> May 26 04:22PM -0500 ^
buen dia..
Yo estoy a cargo de los respaldos donde trabajo, tenemos unas
infraestructura bastante grande, tenemos bastante servidores como para
entretenerme con los respaldos..
por la forma en que trabajamos se tienen diferentes tipos de unidades de
respaldo
algunas son robot para 24 tapes otras una unidad para un solo tape..
la forma en que yo los tengo etiquetados, en el robot es con codigo de
barras porque esa facilidad tiene pero aun asi cada tape tiene su nombre...
los que respaldan completo se llaman servidor1 boxsafe cinta 1 y asi
dependiendo las cinta que te lleves por el respaldo box safe = respaldo
completo y las semanales o incrementales se llaman servidor1 incremental
cinta 1....
como tips te puedo dar los siguientes..
- definir el tiempo que guardaras el respaldo ( 1 mes, 2 etc)..
- definir el tipo de respaldo, full, incremental,
- que los tapes los tengas en un lugar seguro caja fuerte de preferencia
donde nada mas 2 personas tengan accesos, quien hace los respaldo y una
persona que te pueda ayudar cuando tu no estes
- documenta la forma de hacer el respaldo para que si por x causa las dos
personas no estan cualquier persona de sistemas pueda y entienda la forma de
hacer el respaldo
- todos los tapes etiquetados y lleva un orden es decir acomodalos en
donde los tengas conforme los vayas usando, yo los tengo de la manera
siguiente, los que voy a usar un lunes los tengo hasta enfrente y los
respaldos mas antiguos hasta atras los de en medio logicamante los que se
usaron conforme el orden..
- si tu software te lo permite meteles llave de encriptacion a los tapes
para que no puedan accesar a la informacion sin esta llave
- el tiempo de vida de las cintas casi siempre es de dos años segun o que
yo investigue y tambien claro esta dependiendo del uso que les des, yo asi
las estoy cambiando...
- tambien haz un documento de DRP (procedimiento de recuperacion contra
desastres) para que cuando un servidor falle, la recuperacion de la
informacion sea lo mas rapido posible,
- haz un documento de como realizar la recuperacion de un archivo que te
soliciten si es el caso
todos estos tips te ayudaran mucho creeme, algunos me los dieron otros los
he ido aprendiendo conforme se van presentando los problemas o detalles
epsero te sirvan y cualquier pregunta con gusto...
--
Ing. J. Alejandro Navarro Guzman.
Carpe diem quam minimum credula postero
- federico welsh <welshf@gmail.com> May 26 09:19PM -0300 ^
Hola como están..
Podes utilizar las plantillas con un número de serie determinado que te
puede proporcionar la marca de cintas que estás comprando, o utilizar un
programa que te permite generar las etiquetas y personalizar el formato que
quieras.
Si utilizas plantillas compradas por el proveedor, te sería útil generar un
calendario, donde vos podes definir que tipo de backup se realizo en la
cinta (incremental, full). En paralelo utilizas una planilla de excel, en el
cual agrupas las cintas según el tipo de media al cual pertenecen las cintas
(Windows, Unix, SAP, ect. El que se te ocurra).-
Con el calendario y la planilla de cintas, vos sabes que tipo de backup
contiene la cinta (wiin, unix,etc) según en el grupo del excel y con el
calendario sabes si fue incremental o FULL.-
Saludos!!.-
- Diana Campos <securegen@gmail.com> May 26 08:53AM -0500 ^
Entendido, muchas gracias por sus comentarios y sus apreciaciones, muy
valioso para lo que busco.
Los saluda,
Diana Campos
- Pedro Juan Labonia <juan.labonia@gmail.com> May 26 04:08PM -0300 ^
Son dos cosas distintas. El captcha es para evitar a los robots mientras que
el teclado virtual es para evitar los keyloggers. Saludos.
El 25/05/2011 17:20, "Diana Campos" <securegen@gmail.com> escribió:
Apreciados compañeros del Foro
En la empresa donde laboro se está implementando una página Web y
entre los requerimientos se ha definido que los ingresos de datos de
los clientes deben realizarse mediante teclados virtuales para evitar
que sean víctimas de keyloggers, pero mi pregunta es si teniendo estos
teclados virtuales me evita tener que implementar controles como el
CAPTCHA.
De antemano Gracias
Se despide
Diana Campos
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
- "Johnatan O. Garcia A. <JOGA>" <jogacrack@gmail.com> May 26 02:25PM -0500 ^
Pedro: Que buena aclaración. Mil gracias.
robots = ej, spam.
2011/5/26 Pedro Juan Labonia <juan.labonia@gmail.com>
--
--
Atentamente,
Johnatan O. Garcia A. <JOGA>
My Weblog - http://*JOGA*crack.com <http://jogacrack.com/>
- Luis Torres <luistorres19@gmail.com> May 26 02:53PM -0430 ^
El teclado virtual es para evitar los keyloggers, aunque les comento que un
amigo mío pudo crear un script en forma de complemento de Firefox para
activar un keylogger mediante el explorador Firefox para capturar la clave
cuando la ingresas por teclado virtual, así que por lo visto ni eso se salva
de los keyloggers si colocas ese complemento en lo que llamamos en Venezuela
Cyber cafes o salas de alquiler de equipos con conexión a Internet.
Saludos
Luis Torres
2011/5/26 Pedro Juan Labonia <juan.labonia@gmail.com>
--
Saludos
Luis Torres
- frlsdlist@gmail.com May 26 07:40PM ^
Luis,
Screenscraper son los malware que te sacan imagenes de la pantalla cada vez que se detecta un evento del tipo click.
Saluudos,
Enviado desde mi BlackBerry® de Claro Argentina
-----Original Message-----
From: Luis Torres <luistorres19@gmail.com>
Sender: forosi@googlegroups.com
Date: Thu, 26 May 2011 14:53:48
To: <forosi@googlegroups.com>
Reply-To: forosi@googlegroups.com
Subject: Re: [forosi:16165] Teclados virtuales y Captcha en p
áginas Web
El teclado virtual es para evitar los keyloggers, aunque les comento que un
amigo mío pudo crear un script en forma de complemento de Firefox para
activar un keylogger mediante el explorador Firefox para capturar la clave
cuando la ingresas por teclado virtual, así que por lo visto ni eso se salva
de los keyloggers si colocas ese complemento en lo que llamamos en Venezuela
Cyber cafes o salas de alquiler de equipos con conexión a Internet.
Saludos
Luis Torres
2011/5/26 Pedro Juan Labonia <juan.labonia@gmail.com>
> http://groups.google.com/group/forosi
> Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
> http://www.segu-info.com.ar/netiquette.htm
--
Saludos
Luis Torres
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
- shingo <shingo.grupos@gmail.com> May 26 02:30PM -0500 ^
buena idea la de tu amigo luis.. jejejeje
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
No hay comentarios:
Publicar un comentario